51CTO下载-Symantec+SEP+端点防护介绍及迁移讲解

Symantec SEP 端点防护

SEP是企业级产品，不面向个人用户。由管理服务器和客户端组成。

包括AntiVirus Advanced Protection和Network Access Control两大功能组件，

前者（SAV AP）包括增强型的防病毒和反间谍软件技术（检测，阻止和清除病毒，间谍软件，Root Kits和其它的恶意软件），网络威胁防护（检测和阻止外部危胁，入站和出站过滤，位置感知策略）和主动威胁防护（零日危胁，控制设备访问）。

后者（SNAC）实现主机完整性控制和网络访问控制。

SEP实际上是三个产品的集成：

1，Symantec的AV 10.x和CS 3.x（主要是AV，防火墙取自Sygate Enterprise Protection）2，WholeSecurity的Confidence Online产品（用于防护网络欺骗，防钓鱼，保护网络口令）3，Sygate的Enterprise Protection 5.x（SEP的主要功能来自于原Sygate产品）

主动威胁防护

基于行为的防护技术，防护引擎（pro-valid engine and pro-malicious engine）监视系统中的进程，记录它们的行为，将这些行为区分为正常的和可疑的，每种行为都有不同的权重，最后根据计算出的结果发现恶意代码，阻止其执行。

网络威胁防护

包括基于规则的防火墙引擎，基于包和流的入侵防护系统（基于签名匹配来发现攻击行为），管理员可以为不同的网络连接（Location）设置不同的策略，比如，办公室因为有企业级的边缘防火墙，安全性要求可以低一些，如果是开放式的公共网络或家庭互联网络，则安全性要求应该提高。

网络访问控制

用于检测主机是否满足企业的要求（安装Windows补丁，安装安全软件并有最新的定义等等），可以与网络中的Enforcer（分为LAN Enforcer，Gateway Enforcer和DHCP Enforcer三种）一起协作，将不满足要求的计算机隔离，也可以与修复服务器配合，修复客户端，使其满足企业的安全性要求。

安装SEP

系统需求：

支持W2K,W2K3,XP,Vista。SPEM需要IIS组件，会安装JVM 1.5。

SEPM不能与RADIUS安装在一起，都使用1812端口。

安装SEPM时可以使用现存的数据库（SQL2K或SQL2k5，支持不超过50000个客户端）或是产品自带的数据库（Sybase SQL Anywhere 9，支持不超过1000个客户端）。

安装SEPM需要以下三个步骤：

1，基本安装，程序文件安装到系统。

2，站点和数据库配置向导，完成初始配置。

3，首次使用向导（可选）

安装时需要指定：

1，服务器名字

2，服务器端口（SEPM）缺省为8443，Apache服务器。

3，数据根目录

4，站点名字设置后不能更改。

5，共享密钥（SEPM和客户端之间安全通信使用）设置后不能更改。

6，数据库，数据库的名字是sem5

安装客户端

1，用光盘直接安装，客户端将安装成自我管理模式。

2，在SEPM服务器上定制客户端安装包（选择32位或64位，选择组件，选择策略，选择打包方式），安装好以后客户端由SEPM集中管理。

3，可以推送安装，也可以通过文件共享的方式提供安装包，或者通过第三方的部署工具安装客户端程序包。

选择组件：

-Antivirus and Antispyware

-Antivirus Email Tools

-Quarantine Client

-Proactive Threat Protection

-Confidence Online

-Device Control

-Internet Threat Protection

-Firewall and Intrusion Prevention

部署客户端的方式有三种：

1，创新一套新的部署配置

2，从AD中导入组，再为导入的组配置其它选项

3，从现存部署中导入，用于升级原有的安装。

可以从服务器上导出包括组、策略设置和安装组件的安装包，用于部署客户端，将该软件包放置于某个共享文件夹，然后用网络审计工具发现需要安装软件的客户端，再用客户端部署工具部署客户端软件包。

客户端界面：

与以前的产品不同，SEP用同一个界面管理所有的产品组件。

界面包括六大部分：

1，状态：显示AV,NTP和PTP的整体状态。

2，扫描威胁：快速，完全和安全遵从扫描。

3，改变设置：改变位置，设置AV,Tamper Protection和NTP，PTP。

4，自动更新：LiveUpdate

5，查看隔离区：查看被隔离，备份和修复的文件和注册表条目。

6，查看日志。

帮助和支持菜单：

可以看到Troubleshooting菜单项：

1，管理，查看服务器，组和位置，以及策略版本号。

2，版本，SEP各组件的版本信息。

3，调试日志，查看和配置日志。

4，当前用户账户信息，用户所属的组和权限。

5，计算机信息，软硬件信息。

服务器端管理控制台：

采用了基于Java的管理控制台，在主页面上可以很方便地看到安全状态信息。

可以将客户机分组，为不同的客户组设置不同的管理策略。

要在其它计算机上安装控制台，只要用IE浏览器访问SPEM的9090端口就可以，按照提示下载安装控制台软件。

界面主要包括以下几个部分：

Home: 安全总览，包括安全状态总览，病毒检测统计，客户机状态统计等。

Monitors: 实时网络信息，包括汇总，日志，命令状态和通知四个部分。

Reports: 打印报告，用于即时或定时生成报告。

Policies: 管理策略，基于类型分类管理策略和策略组件。主要包括以下一些类别：防病毒和反间谍软件，防火墙，入侵防护，应用程序和设备控制，自动更新和中央例外管理。

Clients: 分组管理客户端，管理组，策略，客户机和安装包。

Admin: 服务器和站点管理，包括管理员权限配置，域管理，服务器，Enforcer，复制，以及用于客户机系统的安装包管理。

管理控制台与SEPM的通讯：

SEPM上运行IIS和Apache Web Server，8443端口用于管理任务，9090端口用于生成报告。

客户机与SEPM的通讯：

客户机与Apache通讯，取得策略，补丁和内容列表。

客户机再与IIS通讯，取得策略，内容和安装包，再将状态信息传递给IIS。缺省情况下，使用HTTP，数据采用静态DES加密，可以配置为使用HTTPS。

客户机与SEPM之间有心跳信号，传递信息的方式分为push mode和pull mode。当一个周期（缺省为5分钟）到达时，客户机请求从服务器更新数据，并上传客户端日志。

push mode，客户机与服务器保持永久连接，有变化时服务器向客户机发送通知，然后客户机开始心跳过程，更新数据。

pull mode，客户按照固定的周期与服务器通讯，查询更新。

客户机上的文件：

Sylink.xml 来自SEPM的通讯设置。包括心跳间隔，push或pull模式，manager的名字和IP，日志设置，服务器证书。

SerDef.dat 基于位置的通讯设置，加密文件。

SerState.dat 用于记录GUI的配置信息，加密文件。

发生客户机注册过程的条件：

1，客户机第一次连接服务器时。

2，注册表中的agent ID或host ID被删除时。

3，agent接到412消息码时（客户机在SEPM上被删除）。

4，用户模式时有新用户登录。

客户机注册时：

1，请求更新的策略。

2，发送日志到manager

3，检查客户机的版本并更新。

4，请求内容更新。

发现未经管理的计算机（未安装SEP客户端的计算机）：

1，LAN Sensor 每子网一个，监视计算机启动时发出的ARP信息，发现未经管理的计算机。2，网络审计，可以搜索一个地址段以发现未经管理的计算机。

连接到未经管理的计算机：

1，使用sm c -stop命令停止SMC服务。

2，从manager或受控计算机上拷贝Sylink.xml

3，使用sm c -start命令启动SMC服务。

客户机/服务器通讯排故：

1，ping m anager

2，nslookup命令检查名称解析。

3，telnet 8443（Tom cat）和80或443（IIS）

如何从以前的版本升级到SEP11？

支持从SAV9.x和10.x，SCS2.x和3.x，以及SPA(Sygate Protection Agent) 5.1升级到SEP11.

可以将客户组，服务器组，防病毒设置和防火墙策略迁移到SEP中。

SEP在升级客户端程序之前，会先将原来的客户端程序清除。

迁移方法：

1，从SAV和SCS迁移到SEP，需要多个步骤，先移动组和设置，再迁移客户机。

2，从Sygate企业管理器可以直接升级到SEP。

先在原SAV服务器上安装SEPM，然后使用迁移工具导入原来的SAV组和设置，然后为每个客户组创建缺省的策略，部署SAV AP到客户机，最后移除原来的SAV服务器。

在SEP中没有服务器组，客户组，主服务器和从服务器的概念。所以迁移的情况可以分为：1，在服务器组级别迁移父服务器：一个以服务器组为名的顶级组被建立，然后在下面为每个父服务器创建一个组，从上级继承配置。同时会建立一个名为Server的组，原来的父服务器加

入名为Server的组。

2，在父服务器级别迁移父服务器：为每个父服务器创建一个组，使用父服务器的名字；在每个组下面创建一个名为Server的组，父服务器加入该组，该组从上一级继承设置。

3，在服务器组级别迁移客户机：按原服务器组创建顶级组，所有没有指定客户机组的客户机迁移到此节点下，为每个父服务器创建一个组，这些组只放置迁移的服务器。为每个客户机组创建一个组，属于该组的客户机被迁移。

4，在父服务器级别迁移客户机：按父服务器创建组，客户机加入相应的组。如果有客户机组，则建立对应的组，但是下面没有客户机，这些组的继承属性被打开。一个名为“Client”的组建立在父服务器组之下，继承设置。

5，在客户机组级别迁移客户机：顶级组为服务器组的名字，不属于任何客户机组的客户机加入此节点，然后建立名为“Client Groups”，再其下为每个客户机组建立对应组。不从上级继承设置。

服务器迁移机制

迁移工具会读取原来的SAV服务器的注册表设置（本地或远程），设置存于XML文件中，每个组都生成一个与组名同名的XML文件，保存组设置。XML中包括一个指示符，指明是否从上级组继承设置。XML放置在SEPM的inbox中，由SEPM加入数据库。

客户机迁移机制

SAV注册表被备份，日志文件和被隔离项目拷入临时目录，卸载SAV，安装SEP，恢复注册表键值，日志文件和被隔离项目拷到相应的位置。

客户机管理：

1，按照安全需求分组，将策略应用到组，组可以容纳客户机和子组，按照公司的组织结构创建组。

2，缺省组是global和tem porary，客户机不能属于全局组，所有未指定客户机都属于临时组。可以在全局组下创始新组，临时组下不能创建子组。

3，关于组的管理，可以查看相关日志，在monitor页面选择log，再选择System，Administrative.

位置和位置感知：

1，每个组可以包括多个位置(如office,remote office,VPN,and home)，每个位置可以有不同的策略。

2，可以基于IP地址范围，子网地址，DNS服务器，是否可以解析某名称，网络连接类型，是否可连接到SEPM，无特定状态等配置位置。

3，缺省位置，用于：无匹配，多个匹配，位置重命名或改变。Office位置在全局设置中是缺省位置。

为一个位置指定策略：

1，新建策略

2，从策略库中选择一条策略

3，从以前导出的文件中导入。

日志包括：

1，来自管理服务器的事件数据。

2，来自所有客户机的事件数据。

我们可以过滤日志，也可以将日志导出为CSV文件或日志服务器。

日志的类型：

Audit 审计

Application Control and Device Control 应用程序控制和设备控制

Compliance 遵从（属于SNAC组件）

Computer Status 计算机状态

Network Threat Protection 网络威胁防护

Proactive Threat Protection 主动威胁防护

Risks 风险

Scans 扫描

System 系统

事件日志中的时间戳基于服务器的时区，数据库中存放的是GMT时间，事件在传到服务器之前可以聚合。

日志在客户机上存储，每个事件源（如AV组件，Firewall组件）都有一个ID，Sylink定期将日志传到服务器，缺省每次最多发送100条，在服务器上为.dat文件

服务器将.dat中的日志分类存放在inbox目录下，如AV放在/inbox/security/av下，防火墙放在/inbox/security下等等。

接下来由Tom cat Apache服务器将inbox下的内容传入数据库。

当管理员通过控制台查看日志时，控制台通过JSP查询数据库，数据库返回检查内容。

结果输出页面是由IIS上的PHP程序生成的，有更好的格式，所以SEPM需要IIS的支持。旧的SCS（借助于Blueline LogSender agent）或SEP客户端的日志以同样的方式发送给服务器，存储在/inbox/security/legacy目录下。

要查看日志，可以通过：

monitor页面，查看几乎实时的信息。

在notification子页面可以配置和查看notification

报告

Home页面显示网络的重要信息，显示防病毒（SAV AP）或主机遵从状态（SNAC），包括以下一些内容：

Security Status 安全状态

Action Summary 防护动作汇总

Risks per Hour: Past 24 Hours 每小时风险数

Unacknowledged alerts in the last 24 hours 未确认告警数

Status Summary 状态汇总

Virus Definition Distribution 病毒定义分发

Security Response 安全响应（需要连接到互联网）

Watched Applications Summary 监控应用程序汇总

Favorite Reports Home page 常用报告收藏

可以配置此页面的参数，统计数据周期和刷新时间间隔。

生成报告有两种形式：

1，快速报告，设置好条件之后立即生成报告。

2，计划报告，按照计划定期执行，报告通过邮件发送给接收者。

可以在SAV 10.1 服务器上配置报告服务器为SEPM。

Audit report and log 审计报告和日志，记录策略修改活动，包括事件时间和类型，策略修改，域、站点、管理员和描述。

Behavior blocking reports and logs 行为阻止报告和日志，记录访问计算机文件，注册表键值和进程时被阻止，以及设备被阻止访问网络等。

Compliance reports and logs 遵从报告和日志，记录Enforcer服务器，客户机和流量以及主机遵从的信息。

Computer status reports and logs 计算机状态，记录网络中计算机的实时操作状态。Firewall reports and logs 防火墙报告与日志记录流入流出的流量信息。

消除风险：

1，确定风险和位置

2，确定如何处理风险

3，更新数据库日志

产品和内容更新

内容更新包括病毒定义，IPS签名

组件更新包括AV引擎和COH

产品更新包括SAV AP 11到SAV AP 11.1

两个策略用于控制客户机的更新：

1，使用哪个服务器，更新的频率

2，客户机需要下载哪些更新类型。

更新可以来源于：

1，Symantec LiveUpdate

2，Internal LiveUpdate Server

3，Management Server

4，Group Update provider (Client)

缺省情况下：

客户机通过管理服务器更新，管理服务器从站点数据库中取得更新，站点数据库从外部LU服务器取得更新。

组更新提供者Group Update Provider

更新代理，从管理服务器或LU服务器获得更新，转发给同一组中的其它客户机。减少管理服务器上的负载，减少带宽占用。

更新类型包括：

1，病毒定义

2，应用程序白名单

3，入侵防护签名

4，Confidence Online数据

5，提交控制

6，解压缩工具

7，产品更新

配置更新：

1，配置站点：更新频率，更新类型，语言，服务器。

2，配置客户机策略：设置策略（频率，更新来源，用户是否可以手工更新）和内容策略（配置客户接受哪些更新及版本）。

服务器端更新过程：

1，SEPM下载更新。

2，SEPM将更新保存在数据库中。

3，生成全部和增量的AV定义以供下载（置到outbox文件夹中）。

4，按需生成其它组件的增量安装包。

客户可更新的内容：

AV virus definition

Eraser

Confidence Online engine

White list (CO engine)

Commercial Application List (a.k.a. Grey list)

IPS signature set

Submission Control Data

Decomposer

Client patch

只适用于SEPM的更新：

Host Integrity Policy Tem plates

Update system control files

客户机更新路径：

1，直接从Symantec LU下载

2，从内部LU服务器下载

3，从SEPM下载

4，从第三方服务器(IBM Tivoli,SMS等)下载

5，从GUP组更新提供者下载

6，手工下载安装包更新。